20.10.2020

Wer ist Verantwortlicher nach DSGVO?

Nicht der oder die Datenschutzbeauftragte ist verantwortlich für den Datenschutz, sondern die sogenannte verantwortliche Stelle. Wer verantwortlich oder gemeinsam verantwortlich ist, kommt auf die Datenverarbeitung und die Auftragsverarbeitung an. Wir geben einen Überblick zum Verantwortlichen, auch zu Fragen der Haftung und zur Verantwortung bei Datenschutzverletzungen.

Verantwortlicher DSGVO

Was versteht die DSGVO unter „Verantwortlicher“?

Geht es um Verantwortung im Datenschutz geht, richten sich schnell die Augen auf die oder den Datenschutzbeauftragten. Doch die Beauftragung für den Datenschutz zieht nicht die Verantwortung nach sich.

Die Datenschutz-Grundverordnung (DSGVO) besagt zwar, dass der oder die „Datenschutzbeauftragte nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner oder ihrer Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden ist“. Und „dass der oder die Datenschutzbeauftragte bei der Erfüllung seiner oder ihrer Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung trägt, wobei er oder sie die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt“.

Von Verantwortung ist in diesem Zusammenhang aber nicht die Rede in der DSGVO.

Stattdessen definiert die DSGVO (Artikel 4) den Verantwortlichen als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Offensichtlich sind also die Entscheidungsträger in Behörden, Einrichtungen, Unternehmen und in anderen Stellen die Verantwortlichen, in Unternehmen somit die Geschäftsleitung.

Gegen wen richten sich Sanktionen der DSGVO?

Sanktionen bei Datenschutzverletzungen können sich dann ebenso gegen den Verantwortlichen richten wie Haftungsansprüche. So besagt die DSGVO unter anderem in Artikel 82 DSGVO:

  • Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
  • Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.
  • Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Was umfasst die „Verantwortung des Verantwortlichen“?

Die Verantwortung des Verantwortlichen umfasst nach Artikel 24 DSGVO

  • die Einhaltung der DSGVO,
  • geeignete Schutzmaßnahmen und
  • den Nachweis dafür:

„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert“. (Artikel 24 Abs. 1 DSGVO)

„Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen“. (Artikel 24 Abs. 2 DSGVO)

Wer ist verantwortlich bei Auftragsverarbeitung?

Ein „Auftragsverarbeiter“ ist nach DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Verantwortlich ist wieder der Entscheider, also die verantwortliche Stelle als Auftraggeber.

Die Aufsichtsbehörden für den Datenschutz haben entsprechend klargestellt:

„Die Gesamtverantwortung für die Datenverarbeitung und Nachweispflicht des Verantwortlichen umfasst auch die Verarbeitung durch den Auftragsverarbeiter. Hiervon kann sich der Verantwortliche nicht durch die Beauftragung eines Auftragsverarbeiters befreien.“

Hält sich ein Auftragsverarbeiter aber nicht an die Vorgaben des Verantwortlichen und verstößt er gegen die DSGVO, wird er selbst zum Verantwortlichen. Denn die DSGVO besagt: „Ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher“.

Auch hier gilt also wieder: Wer über die Zwecke und Mittel der Verarbeitung entscheidet, ist verantwortlich.

Das betrifft auch die Haftung: Ein Auftragsverarbeiter haftet für den Schaden, den eine Verarbeitung verursacht, nur dann, wenn er entweder seinen Pflichten nicht nachgekommen ist, die die DSGVO speziell den Auftragsverarbeitern auferlegt.

Oder er hat die rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen missachtet oder gegen diese Anweisungen gehandelt.

Was bedeutet gemeinsam verantwortlich?

Auch wenn „Gemeinsam Verantwortliche“, von der DSGVO in Artikel 26 eingeführt, kompliziert klingt, ist es eigentlich einfach zu verstehen: Enscheiden mehrere Verantwortliche gemeinsam über die Zwecke und Mittel einer Datenverarbeitung, sind auch mehrere gemeinsam verantwortlich.

Wichtig ist dabei: Auch wenn die gemeinsam Verantwortlichen ihre jeweiligen Aufgaben genau und transparent in einem Vertrag regeln, kann die betroffene Person ihre Rechte im Rahmen der DSGVO bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Wer haftet bei einem Datenschutzverstoß?

Die Aufsichtsbehörden für den Datenschutz haben klargestellt, dass Unternehmen für Datenschutzverstöße ihrer Beschäftigten haften.

Die Geschäftsleitung als verantwortliche Stelle kann also in aller Regel nicht einfach sagen, die Mitarbeiterin oder der Mitarbeiter ist verantwortlich, er oder sie ist schuld.

Unternehmen haften im Rahmen von Artikel 83 DSGVO für schuldhafte Datenschutzverstöße ihrer Beschäftigten, sofern es sich nicht um einen Exzess handelt, so die Aufsichtsbehörden.

Dabei ist nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Unter einem Exzess versteht man dabei ein sehr deutliches Überschreiten der Vorgaben im Unternehmen.

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)